Diese Dokumentation beschreibt die IT-Infrastruktur eines Unternehmens mit zwei Standorten und insgesamt 25 Mitarbeiterinnen und Mitarbeitern. Die vorliegende Dokumentation soll einen möglichst umfassenden Überblick über die eingesetzte Technik, die Konfiguration der Systeme sowie die festgelegten organisatorischen und sicherheitstechnischen Richtlinien geben. Gleichzeitig dient sie als Nachschlagewerk für Administratoren, Auditoren und Entscheidungsträger.
Die IT-Infrastruktur des Unternehmens ist durch den Aufbau zweier Standorte (Bern und Biel), einer umfassenden Cloud-Integration (TERRA Cloud), sowie klar definierten Sicherheits- und Organisationsrichtlinien auf einem hohen Niveau. Im Folgenden werden die wichtigsten Aspekte und Neuerungen zusammengefasst:
siehe Kapitel: Infrastrukturübersicht; Server; Backup
siehe Kapitel: Server; Backup
siehe Kapitel: Netzwerk und aktive Komponenten; Organisatorische Richtlinien
siehe Kapitel: Benutzerverwaltung; Benutzermatrix und Berechtigungsmatrix
siehe Kapitel: Organisatorische Richtlinien
Alle Standorte (ausgenommen Hetzner Cloud) sind mittels eines Site-to-Site VPN (WireGuard) miteinander verbunden und verfügen jeweils über eine 10 Gbit/s Internetanbindung.
Jeder Standort ist mit einem 10 Gbit/s Init7-Internetzugang angebunden, um eine zuverlässige und performante Verbindung zu gewährleisten. Als Backup-Leitung dient ein 1 Gbit/s Internetzugang von Solnet, der automatisch umschaltet, falls die Hauptleitung ausfällt. Die Konfiguration der Failover-Logik wird von den OPNSense-Firewalls übernommen, sodass ein unterbrechungsfreier Betrieb sichergestellt ist.
Die Solnet-Leitung bietet ausreichende Kapazität für alle kritischen Dienste und wird regelmässig getestet, um die Funktion des Failover-Mechanismus sicherzustellen.
Im Geschäftsbetrieb kommen ausschliesslich firmeneigene Notebooks zum Einsatz, die jedem Mitarbeitenden persönlich zugewiesen werden. Die Nutzung privater Geräte (BYOD) ist aus Sicherheits- und Compliance-Gründen nicht gestattet.
| Regel-ID | Quelle | Ziel | Port/Protokoll | Erlaubt/Verweigert | Kommentar |
|---|---|---|---|---|---|
| FW-001 | Internal-Network Bern | VPN-Net-Terra-Cloud | 53 (UDP/TCP) | Erlaubt | DNS-Anfragen an die Domain Controller in der Cloud |
| FW-002 | Internal-Network Bern | VPN-Net-Terra-Cloud | 67-68 (UDP) | Erlaubt | DHCP-Anfragen an die Domain Controller in der Cloud |
| FW-003 | Internal-Network Bern | VPN-Net-Terra-Cloud | 445 (TCP) | Erlaubt | SMB-Verbindungen von Bern zur Cloud |
| FW-004 | Internal-Network Bern | VPN-Net-Terra-Cloud | 853 (TCP) | Erlaubt | DNS-Anfragen über DNS-over-TLS an die Cloud-DCs |
| FW-005 | Internal-Network Bern | VPN-Net-Terra-Cloud | 5514, 8080, 3478 (TCP/UDP) | Erlaubt | Unifi-Kommunikation von Bern zur Cloud |
| FW-006 | VPN-Net-Terra-Cloud | Internal-Network Bern | 22 (TCP) | Erlaubt | SSH-Verbindungen von der Cloud zu Bern |
| FW-007 | VPN-Net-Terra-Cloud | Internal-Network Bern | 51821 (UDP) | Erlaubt | WireGuard S2S VPN von der Cloud zu Bern |
| FW-008 | VPN-Net-Terra-Cloud | Internal-Network Bern | 8 (ICMP) | Erlaubt | ICMP Echo-Request von VPN-Net-Terra-Cloud zu Bern |
| FW-009 | VPN-Net-Terra-Cloud | Internal-Network Bern | 5514, 8080, 3478 (TCP/UDP) | Erlaubt | Unifi-Kommunikation von der Cloud nach Bern |
| FW-010 | Internal-Network Bern | VPN-Net-Biel | 51821 (UDP) | Erlaubt | Site-to-Site WireGuard VPN zu VPN-Net-Biel |
| FW-011 | Internal-Network Bern | VPN-Net-Biel | 8 (ICMP) | Erlaubt | ICMP Echo-Request von Bern zu VPN-Net-Biel |
| FW-012 | VPN-Net-Biel | Internal-Network Bern | 8 (ICMP) | Erlaubt | ICMP Echo-Request von VPN-Net-Biel zu Bern |
| FW-013 | Internal-Network Bern | Internet | 443 (TCP) | Erlaubt | HTTPS-Verbindungen zum Internet |
| FW-014 | Internal-Network Bern | Vpn-Net-Terra-Cloud | 25, 587, 993 (TCP) | Erlaubt | SMTP, IMAP und Authentifizierung am Mailserver |
| FW-015 | Internet | Internal-Network Bern | 123 (UDP) | Erlaubt | NTP-Verbindungen vom Internet zu Bern |
| FW-016 | Internet | Internal-Network Bern | 51822 (UDP) | Erlaubt | End-to-Site WireGuard VPN |
| FW-017 | Internet | Internal-Network Bern | 80 (TCP) | Verweigert | Default-Deny-Regel |
| FW-C018 | Any | Any | Any | Verweigert | Default-Deny-Regel |
Kommentar: Evtl. Port 88 (Kerberos) für die Domain Controller freigeben.
Diese Tabelle bildet die Paketfilterregeln der Firewall in Bern ab. In Biel werden genau die gleichen Regeln angelegt, jedoch werden jeweils Ziel oder Quelle äquivalent angepasst.
Diese Tabelle ist nicht abschliessend und stellt den aktuellen Stand der Firewall-Regeln für den Standort Bern dar. Die Konfiguration der Firewall wird regelmässig überprüft, gesichert und optimiert, um den Anforderungen an Sicherheit und Performance gerecht zu werden. Änderungen werden dokumentiert und einem Freigabeprozess unterzogen, um sicherzustellen, dass keine sicherheitskritischen Lücken entstehen.
| Regel-ID | Quelle | Ziel | Port/Protokoll | Erlaubt/Verweigert | Kommentar |
|---|---|---|---|---|---|
| FW-C001 | VPN-Net-Bern | Internal-Network (Cloud) | 53 (UDP/TCP) | Erlaubt | DNS-Anfragen von Bern an die Domain Controller in der Cloud |
| FW-C002 | VPN-Net-Bern | Internal-Network (Cloud) | 67-68 (UDP) | Erlaubt | DHCP-Anfragen von Bern an die Cloud |
| FW-C003 | VPN-Net-Bern | Internal-Network (Cloud) | 445 (TCP) | Erlaubt | SMB-Verbindungen von Bern zur Cloud |
| FW-C004 | VPN-Net-Bern | Internal-Network (Cloud) | 853 (TCP) | Erlaubt | DNS-Anfragen über DNS-over-TLS von Bern zur Cloud |
| FW-C005 | VPN-Net-Bern | Internal-Network (Cloud) | 5514, 8080, 3478 (TCP/UDP) | Erlaubt | Unifi-Kommunikation von Bern zur Cloud |
| FW-C006 | VPN-Net-Biel | Internal-Network (Cloud) | 53 (UDP/TCP) | Erlaubt | DNS-Anfragen von Biel an die Domain Controller in der Cloud |
| FW-C007 | VPN-Net-Biel | Internal-Network (Cloud) | 67-68 (UDP) | Erlaubt | DHCP-Anfragen von Biel an die Cloud |
| FW-C008 | VPN-Net-Biel | Internal-Network (Cloud) | 445 (TCP) | Erlaubt | SMB-Verbindungen von Biel zur Cloud |
| FW-C009 | VPN-Net-Biel | Internal-Network (Cloud) | 853 (TCP) | Erlaubt | DNS-Anfragen über DNS-over-TLS von Biel zur Cloud |
| FW-C010 | VPN-Net-Biel | Internal-Network (Cloud) | 5514, 8080, 3478 (TCP/UDP) | Erlaubt | Unifi-Kommunikation von Biel zur Cloud |
| FW-C011 | Internal-Network (Cloud) | VPN-Net-Bern | 22 (TCP) | Erlaubt | SSH-Verbindungen von der Cloud nach Bern |
| FW-C012 | Internal-Network (Cloud) | VPN-Net-Biel | 22 (TCP) | Erlaubt | SSH-Verbindungen von der Cloud nach Biel |
| FW-C013 | Internal-Network (Cloud) | VPN-Net-Bern | 51821 (UDP) | Erlaubt | WireGuard S2S VPN von der Cloud nach Bern |
| FW-C014 | Internal-Network (Cloud) | VPN-Net-Biel | 51821 (UDP) | Erlaubt | WireGuard S2S VPN von der Cloud nach Biel |
| FW-C015 | Internal-Network (Cloud) | VPN-Net-Bern | 8 (ICMP) | Erlaubt | ICMP Echo-Request von der Cloud nach Bern |
| FW-C016 | Internal-Network (Cloud) | VPN-Net-Biel | 8 (ICMP) | Erlaubt | ICMP Echo-Request von der Cloud nach Biel |
| FW-C017 | VPN-Net-Bern | Internal-Network (Cloud) | 8 (ICMP) | Erlaubt | ICMP Echo-Request von Bern zur Cloud |
| FW-C018 | VPN-Net-Biel | Internal-Network (Cloud) | 8 (ICMP) | Erlaubt | ICMP Echo-Request von Biel zur Cloud |
| FW-C019 | Internal-Network (Cloud) | Internet | 443 (TCP) | Erlaubt | HTTPS-Verbindungen von der Cloud zum Internet |
| FW-C020 | Internal-Network (Cloud) | Internet | 25, 587, 993 (TCP) | Erlaubt | SMTP, IMAP und Authentifizierung vom Mailserver |
| FW-C021 | Internet | Internal-Network (Cloud) | 123 (UDP) | Erlaubt | NTP-Verbindungen vom Internet zur Cloud |
| FW-C022 | Internet | Internal-Network (Cloud) | 51822 (UDP) | Erlaubt | End-to-Site WireGuard VPN |
| FW-C023 | Internet | Internal-Network (Cloud) | 80 (TCP) | Verweigert | HTTP aus Sicherheitsgründen unterbunden |
| FW-C024 | Any | Any | Any | Verweigert | Default-Deny-Regel |
Kommentar: Evtl. Port 88 (Kerberos) für die Domain Controller freigeben.
Diese Tabelle ist nicht abschliessend und zeigt den aktuellen Stand der Firewall-Regeln für die Cloud (VPN-Net-Terra-Cloud). Die Konfiguration wird regelmässig überprüft, gesichert und optimiert, um eine sichere Kommunikation zwischen der Cloud, den Standorten (Bern und Biel) und dem Internet zu gewährleisten. Änderungen werden dokumentiert und einem Freigabeprozess unterzogen.
Benutzer können sich von extern per WireGuard-Client verbinden. Der Zugriff erfolgt über die zentrale Firewall in der TERRA Cloud.
Konfigurationsparameter:
Benutzer erhalten nur Zugriff auf die Ressourcen, die für ihre Arbeit erforderlich sind. Logs werden auf dem zentralen Syslog-Server gesammelt.
Die Server werden vollständig in der TERRA Cloud gehostet. Die Backupserver befinden sich zur zusätzlichen Absicherung in einem separaten Rechenzentrum bzw. Brandabschnitt von TERRA. Dank der flexiblen Cloud-Architektur können die Server jederzeit problemlos skaliert werden, um den aktuellen Anforderungen gerecht zu werden.
| Server | Betriebssystem | Aufgaben | Performance | Diskaufteilung | Standort |
|---|---|---|---|---|---|
| DC1 | Windows Server 2022 Standard | Active Directory, DNS, DHCP, Gruppenrichtlinien | CPU: 4 Kerne, RAM: 16 GB | C: OS (100 GB), D: Daten (200 GB) | TERRA Cloud |
| DC2 | Windows Server 2022 Standard | Active Directory, DNS, DHCP, Gruppenrichtlinien (Backup) | CPU: 4 Kerne, RAM: 16 GB | C: OS (100 GB), D: Daten (200 GB) | TERRA Cloud |
| Fileserver | Windows Server 2022 Standard | Zentrale Dateiablage mit Freigaben | CPU: 8 Kerne, RAM: 32 GB | C: OS (100 GB), D: Freigaben (2 TB) | TERRA Cloud |
| Applikationsserver | Windows Server 2022 Standard | ERP, CRM, Unifi Controller, Bitwarden | CPU: 8 Kerne, RAM: 32 GB | C: OS (100 GB), D: Apps (600 GB) | TERRA Cloud |
| Mailserver | Exchange Server 2019 | E-Mail-Verwaltung (SMTP, IMAP, Outlook-Integration) | CPU: 8 Kerne, RAM: 64 GB | C: OS (100 GB), D: Exchange-Daten (1 TB) | TERRA Cloud |
| Syslog-Server | Ubuntu Server 24.04 LTS | Zentralisierung der Logs von Firewalls, Switches, Servern und Clients | CPU: 4 Kerne, RAM: 8 GB | /: OS (50 GB), /var/log (2 TB) | TERRA Cloud |
| Backupserver | Ubuntu Server 24.04 LTS | Speicherung von Veeam-Backups für geografische Redundanz | CPU: 4 Kerne, RAM: 16 GB | /: OS (50 GB), /backup (10 TB) | Hetzner |
Die folgende Tabelle beschreibt das IP-Konzept der Firma:
| Bereich | Subnetz | Gateway | Verwendung |
|---|---|---|---|
| Cloud LAN | 192.168.1.0/24 | 192.168.1.254 | Server und Dienste in der TERRA Cloud |
| Biel LAN | 192.168.2.0/24 | 192.168.2.254 | Interne Geräte, Server, Clients |
| Bern LAN | 192.168.3.0/24 | 192.168.3.254 | Interne Geräte, Server, Clients |
| Site-to-Site VPN | 10.1.0.0/24 | 10.1.0.254 | Tunnel-Adresse Bern |
| 10.1.1.0/24 | 10.1.1.254 | Tunnel-Adresse Biel | |
| 10.1.2.0/24 | 10.1.2.254 | Tunnel-Adresse Cloud LAN | |
| End-to-Site VPN | 10.2.0.0/24 | 10.2.0.254 | Tunnel für Homeoffice-Benutzer |
| Management VLAN | 192.168.10.0/24 | 192.168.10.254 | Netzwerkgeräte (Switches, APs) |
| Gastnetz VLAN | 192.168.20.0/24 | 192.168.20.254 | Gäste-WLAN, persönliche Geräte |
Das IP-Konzept gewährleistet eine klare Trennung der verschiedenen Netzwerkbereiche und erleichtert die Verwaltung sowie die Sicherheitskonfigurationen. DHCP wird an beiden Standorten durch die Domain Controller bereitgestellt, wobei statische IP-Adressen oder IP Reservierungen im DHCP für kritische Systeme (Server, Netzwerkgeräte) verwendet werden.
vorname.nachname@firma.local / DOMAIN\vorname.nachname).\\Fileserver\Userhomes$\%USERNAME%.| Vorname | Name | Abteilung |
|---|---|---|
| Andreas | Maier | IT |
| Benjamin | Schuster | Accounting |
| Carla | Weber | Logistics |
| David | Roth | Logistics |
| Elisabeth | Hoffmann | Marketing |
| Franziska | Vogel | Marketing |
| Georg | Schäfer | Accounting |
| Hanna | Becker | Logistics |
| Ingo | Klein | Logistics |
| Julia | Lehmann | Logistics |
| Karl | Braun | Management |
| Leonie | Richter | Logistics |
| Maria | Schulz | Accounting |
| Niklas | Winter | Logistics |
| Olivia | Kaiser | Marketing |
| Paul | Becker | HR |
| Quentin | Lorenz | Marketing |
| Rebecca | Neumann | Logistics |
| Stefan | Möller | Accounting |
| Tanja | Bachmann | Logistics |
| Ulrich | Dietz | Logistics |
| Valerie | Sommer | Management |
| Walter | Weiss | IT |
| Xaver | Huber | HR |
| Yvonne | König | HR |
Logistics, Marketing, HR, Accounting, Management, IT) ein.Alle Benutzer erhalten eine IT-Sicherheitsschulung “Security Awareness” (Einsteiger und jährliche Auffrischung).
Inhalte der Schulung:
Bei vermehrtem Auftreten von Phishing-Angriffen oder anderen Malware-Aktivitäten werden die Mitarbeitenden durch gezielte Informationsrundmails und Inputs in Meetings sensibilisiert und auf potenzielle Gefahren aufmerksam gemacht.
Zur Steigerung des Sicherheitsbewusstseins setzen wir das Security Awareness Program von Securepoint ein. Dieses versendet regelmässig “Phishing”-Testmails mit unterschiedlichen Inhalten und Themen an die Mitarbeitenden. Die daraus gewonnenen Statistiken liefern wertvolle Einblicke in die Aufmerksamkeit und Reaktionsfähigkeit der Belegschaft.
| Vorname | Name | Abteilung | Gruppe(n) |
|---|---|---|---|
| Andreas | Maier | IT | Domain Admins |
| Benjamin | Schuster | Accounting | gg_Accounting |
| Carla | Weber | Logistics | gg_Logistics |
| David | Roth | Logistics | gg_Logistics |
| Elisabeth | Hoffmann | Marketing | gg_Marketing |
| Franziska | Vogel | Marketing | gg_Marketing |
| Georg | Schäfer | Accounting | gg_Accounting |
| Hanna | Becker | Logistics | gg_Logistics |
| Ingo | Klein | Logistics | gg_Logistics |
| Julia | Lehmann | Logistics | gg_Logistics |
| Karl | Braun | Management | gg_Management |
| Leonie | Richter | Logistics | gg_Logistics |
| Maria | Schulz | Accounting | gg_Accounting |
| Niklas | Winter | Logistics | gg_Logistics |
| Olivia | Kaiser | Marketing | gg_Marketing |
| Paul | Becker | HR | gg_HR |
| Quentin | Lorenz | Marketing | gg_Marketing |
| Rebecca | Neumann | Logistics | gg_Logistics |
| Stefan | Möller | Accounting | gg_Accounting |
| Tanja | Bachmann | Logistics | gg_Logistics |
| Ulrich | Dietz | Logistics | gg_Logistics |
| Valerie | Sommer | Management | gg_Management |
| Walter | Weiss | IT | Domain Admins |
| Xaver | Huber | HR | gg_HR |
| Yvonne | König | HR | gg_HR |
| Abteilungsressource | Logistics | Marketing | HR | Accounting | Management | IT |
|---|---|---|---|---|---|---|
| Logistics | Vollzugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Lesen (R) | Lesen (R) |
| Marketing | Kein Zugriff | Vollzugriff | Kein Zugriff | Kein Zugriff | Lesen (R) | Lesen (R) |
| HR | Kein Zugriff | Kein Zugriff | Vollzugriff | Kein Zugriff | Lesen (R) | Lesen (R) |
| Accounting | Kein Zugriff | Kein Zugriff | Kein Zugriff | Vollzugriff | Lesen (R) | Lesen (R) |
| Management | Lesen (R) | Lesen (R) | Lesen (R) | Lesen (R) | Vollzugriff | Lesen (R) |
| IT | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Lesen (R) | Vollzugriff |
| Gemeinsame Datenablage (D:) | Vollzugriff | Vollzugriff | Vollzugriff | Vollzugriff | Vollzugriff | Vollzugriff |
Diese Matrix stellt sicher, dass die Zugriffsrechte klar definiert sind und den Datenschutz- sowie Sicherheitsrichtlinien entsprechen.
Für die Sicherung der Unternehmensdaten wird ein dreistufiges Backup-Konzept eingesetzt, das sowohl lokale als auch externe Sicherungen umfasst. Dieses Konzept gewährleistet maximale Datensicherheit und Redundanz:
TERRA Cloud Backup
Lokales Backup auf NAS
Veeam Backup bei Hetzner
Zusammenfassung:
Das dreistufige Backup-Konzept (TERRA Cloud, NAS in Bern, Veeam bei Hetzner) stellt sicher, dass die Unternehmensdaten jederzeit verfügbar und geschützt sind. Die Kombination aus lokaler, regionaler und externer Datensicherung minimiert das Risiko von Datenverlusten und ermöglicht eine flexible Wiederherstellung bei Bedarf. Alle Backups unterliegen einer regelmässigen Überprüfung und werden gemäss dem 3-2-1-Prinzip umgesetzt:
Der Desaster Recovery Plan (DRP) legt Massnahmen zur Wiederherstellung der IT-Infrastruktur im Falle eines grösseren Ausfalls (z. B. Brand, Ransomware) fest.
Alle Passwörter werden im self-hosted Bitwarden gespeichert, um mehreren Personen gleichzeitig ein korruptionsfreies Arbeiten zu ermöglichen. Die Passwörter werden zentral verwaltet, und Passwortfreigaben können benutzerbezogen vergeben werden.
Zusätzlich erhält jede:r Mitarbeiter:in ein persönliches Login für persönliche Passwörter. Alle Logins sind individuell; Gruppen-Logins werden nicht verwendet.
Die IT-Verantwortlichkeiten innerhalb der Organisation werden gemäss dem RACI-Modell (Responsible, Accountable, Consulted, Informed) klar definiert und auf die beteiligten Personen verteilt. Die Verteilung der Rollen ist wie folgt:
CISO (Chief Information Security Officer): Valerie Sommer
IT-Leiter: Andreas Maier
IT-Mitarbeiter (Stellvertretung): Walter Weiss
Erfasst von Timon Bachmann und Ruben Notaro am 26.01.2025